Données personnelles

Exactitude des données RGPD : obligations de l'Art. 5(1)(d)

L'Art. 5(1)(d) RGPD impose l'exactitude des données personnelles et leur mise à jour. Obligations pratiques, sanctions CNIL et interaction avec l'IA.

TD
Dr. Thiébaut Devergranne
12 avril 20267 min read

Le principe d’exactitude des données, consacré par l’Art. 5(1)(d) du RGPD, impose que les données personnelles soient exactes et, si nécessaire, tenues à jour. Toute mesure raisonnable doit être prise pour que les données inexactes soient effacées ou rectifiées sans délai. Ce principe, souvent sous-estimé, a des implications directes sur la qualité des décisions prises à partir de données personnelles — qu’il s’agisse d’un scoring bancaire, d’un recrutement algorithmique ou d’un diagnostic médical.

Points Clés

  • L’Art. 5(1)(d) RGPD impose une obligation de moyens : le responsable de traitement doit prendre toute mesure raisonnable pour garantir l’exactitude.
  • Le droit de rectification (Art. 16 RGPD) est le corollaire direct du principe d’exactitude : chaque personne peut exiger la correction de données inexactes.
  • Les manquements au principe d’exactitude représentent une part significative des sanctions : 74 amendes RGPD ont visé ce fondement selon les données disponibles (Scrut.io, 2025).
  • Le CEPD a souligné en 2025 que l’utilisation de systèmes d’IA renforce l’obligation d’exactitude, les erreurs dans les données d’entraînement produisant des résultats systématiquement biaisés.
  • L’exactitude s’apprécie au regard de la finalité du traitement : une donnée peut être exacte pour une finalité et inexacte pour une autre.

Ce que l’Art. 5(1)(d) RGPD exige

Le texte de l’Art. 5(1)(d) est le suivant :

« Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder. »

Trois obligations en découlent :

Obligation d’exactitude initiale : au moment de la collecte, le responsable de traitement doit s’assurer que les données recueillies sont correctes. Cela implique des processus de vérification adaptés au contexte : double saisie, validation par la personne concernée, croisement avec des sources fiables.

Obligation de mise à jour : l’expression « si nécessaire, tenues à jour » signifie que la mise à jour n’est pas systématiquement requise, mais dépend de la finalité du traitement. Des données de contact utilisées pour communiquer avec un client doivent être actualisées. Un historique de transactions, en revanche, reflète un état passé et n’a pas vocation à être modifié.

Obligation de rectification ou d’effacement : lorsque des données inexactes sont identifiées, le responsable de traitement doit agir sans tarder. Ce délai est apprécié au cas par cas par les autorités de contrôle, mais la CNIL considère qu’un mois constitue le délai maximal raisonnable, par analogie avec le délai de réponse aux demandes d’exercice de droits (Art. 12(3) RGPD).

Exactitude et droits des personnes : Art. 16 RGPD

Le droit de rectification, prévu à l’Art. 16 RGPD, est le prolongement opérationnel du principe d’exactitude. Toute personne peut obtenir du responsable de traitement la rectification de données personnelles inexactes la concernant, dans les meilleurs délais.

Le responsable de traitement doit :

  • Mettre en place un canal accessible pour recevoir les demandes de rectification.
  • Répondre dans un délai d’un mois (Art. 12(3) RGPD), prolongeable de deux mois en cas de complexité.
  • Notifier la rectification à chaque destinataire auquel les données ont été communiquées, sauf si cela s’avère impossible ou exige des efforts disproportionnés (Art. 19 RGPD).

La CNIL recommande d’intégrer un formulaire de rectification dans les interfaces utilisateur et de documenter chaque demande dans un registre spécifique.

Cas particuliers : opinions, données historiques et IA

Opinions et données subjectives

L’exactitude ne concerne pas uniquement les faits objectifs. Une opinion enregistrée sur un client (par exemple, « client difficile ») n’est pas en soi inexacte puisqu’elle reflète un jugement. Toutefois, si cette opinion est présentée comme un fait ou si elle est fondée sur des informations erronées, la personne concernée peut exiger sa rectification ou son effacement.

Le Groupe de travail Article 29 (désormais CEPD) a précisé que lorsqu’une donnée subjective est contestée, le responsable de traitement doit au minimum annoter le dossier pour indiquer que la personne conteste l’exactitude de l’information.

Données historiques

Les données qui reflètent un état passé (adresse précédente, ancien employeur) ne sont pas inexactes au sens du RGPD : elles étaient exactes au moment de leur collecte. En revanche, si ces données sont utilisées comme si elles reflétaient la situation actuelle, le responsable de traitement manque à son obligation de mise à jour.

Systèmes d’IA et données d’entraînement

Le CEPD a publié en 2025 ses Lignes directrices sur l’IA et la protection des données, soulignant que les organismes utilisant des systèmes d’IA pour la prise de décision automatisée ont une obligation renforcée de vérifier et corriger les données d’entraînement. Des données inexactes dans un modèle d’IA peuvent produire des résultats systématiquement biaisés, en violation de l’Art. 5(1)(d) RGPD et potentiellement de l’Art. 22 RGPD (décisions automatisées).

Sanctions pour manquement à l’exactitude

CNIL, Délibération n°SAN-2021-020 du 31 décembre 2021 : la CNIL a sanctionné la société Clearview AI d’une amende de 20 millions d’euros pour plusieurs manquements au RGPD, dont l’absence de mécanisme permettant aux personnes concernées de vérifier et corriger les données biométriques collectées par scraping.

CNIL, Délibération n°SAN-2022-023 du 15 novembre 2022 : la société Discord a été condamnée à 800 000 euros pour plusieurs manquements, incluant des défaillances dans la gestion de la qualité des données relatives aux comptes utilisateurs.

BfDI (Allemagne), 2019 : Deutsche Wohnen a reçu une amende de 14,5 millions d’euros pour avoir conservé des données de locataires dans un système d’archivage qui ne permettait pas de distinguer les données actuelles des données obsolètes, en violation du principe d’exactitude combiné au principe de limitation de la conservation.

ICO (Royaume-Uni), 2020 : Experian a été sanctionnée pour avoir utilisé des données de consommateurs à des fins de marketing direct sans vérifier leur exactitude ni leur actualité, en violation des principes de l’Art. 5 RGPD.

Mise en pratique : garantir l’exactitude au quotidien

Collecter des données auprès de la source

Privilégiez la collecte directe auprès de la personne concernée plutôt que via des sources tierces. Lorsque les données proviennent de tiers, documentez la source et vérifiez leur fiabilité conformément à l’Art. 14 RGPD.

Mettre en place des processus de vérification

Instaurez des contrôles de cohérence à la saisie (formats, valeurs attendues) et des campagnes périodiques de mise à jour. Par exemple, envoyez une demande de confirmation annuelle aux contacts dont les données sont traitées sur la base de l’intérêt légitime.

Documenter les mesures prises

Le principe de responsabilité (Art. 5(2) RGPD) impose de démontrer que des mesures raisonnables ont été prises pour garantir l’exactitude. Conservez une trace des processus de vérification, des demandes de rectification traitées et des mises à jour effectuées.

Auditer les systèmes d’IA

Si votre organisme utilise des algorithmes ou des modèles d’IA, intégrez des contrôles d’exactitude dans le cycle de développement : validation des données d’entraînement, tests de biais, analyse d’impact (Art. 35 RGPD) pour les traitements à haut risque.

FAQ

Que signifie « mesures raisonnables » pour l’exactitude des données ?

L’Art. 5(1)(d) impose une obligation de moyens, pas de résultat. Le responsable de traitement doit mettre en place des processus adaptés au contexte : vérification à la collecte, campagnes de mise à jour, traitement diligent des demandes de rectification. Ce qui est « raisonnable » dépend du volume de données, de la sensibilité du traitement et des moyens de l’organisme.

Peut-on conserver des données que l’on sait obsolètes ?

Oui, si la finalité le justifie. Un historique de commandes reflète des informations passées qui étaient exactes au moment de la transaction. En revanche, utiliser une ancienne adresse pour envoyer un courrier commercial constitue un manquement à l’obligation de mise à jour. La clé est la cohérence entre la finalité et l’actualité requise de la donnée.

L’inexactitude d’une donnée donne-t-elle automatiquement droit à une indemnisation ?

Pas automatiquement. L’Art. 82 RGPD ouvre un droit à réparation lorsque la personne subit un dommage matériel ou moral du fait d’un manquement. Une simple inexactitude sans conséquence ne suffit pas. En revanche, si des données inexactes entraînent un refus de crédit ou une décision administrative préjudiciable, la personne peut obtenir réparation devant les juridictions civiles.

Comment le principe d’exactitude interagit-il avec le droit à l’effacement ?

Lorsque des données ne peuvent pas être rectifiées (par exemple, parce que la donnée correcte n’est pas connue), l’Art. 5(1)(d) impose leur effacement. Le droit à l’effacement (Art. 17 RGPD) complète ce mécanisme en permettant à la personne de demander la suppression de données inexactes. Les deux dispositions se renforcent mutuellement.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law

Cookie Consent Under GDPR and ePrivacy: Complete Guide
Data Privacy

Cookie Consent Under GDPR and ePrivacy: Complete Guide